江苏龙网

  1. 首页 > 生活 > >

「XP靶场挑战赛」是啥比赛

XP靶场挑战赛已经结束:http://xp.erangelab.com/results.html。作为参赛团队的小伙伴(即利益相关),在此发布一些对挑战赛的看法。声明:本答案内容均为本人个人意见,不代表任何公司或者团体的官方看法。
这是一个有来头的“政治任务”在官网上即有说明:
本期挑战活动是由竞评演练工作组主办。(XP挑战平台之XP靶场挑战赛)
竞评演练工作组又是什么组织?
竞评演练工作组是中央网信办主管的中国网络空间安全协会(筹)下设二级组织机构(Sina Visitor System)
而中央网信办,即是这届政府2013年新设立的“中央网络安全和信息化领导小组”,最知名的特点是由习任组长。
这是一块360新开辟的战场大家应该还记得,今年4月XP刚刚失去微软技术支持之时,360高调广而告之的另一个类似的漏洞挑战赛:如何看待“XP挑战赛”腾讯金山用时不超1分钟就被攻破这件事?。值得注意的是,其主办方“合天智汇”,也跟此次挑战赛有密切的关系(如在首页上有他们的推广链接),可看出这两次挑战赛均有类似的官方背景。
在4月份的比赛中,360(利用准备上的优势)取得了领先,并且不遗余力地大力宣传(广告都打到了普通小区的电梯间里),充分说明了360有意愿在漏洞防护这一领域制造口碑。而XP失去支持这一事件,正好使之成为全国人民关注的焦点,成为了有争夺价值的战场。
这是一个无法回避的比赛上面两点综合起来,就把其它安全厂商推入了一个不得不跟进的局面。由于官方背景,导致我们无法直接指出其中的一些不合理之处(还想不想在国内混了……);由于360的支持,导致我们无法用无视来冷处理这个事件。最终哪怕是赶鸭子上架也好,也需要抽调人手和资源来为这次比赛做专门的准备。
这是一场“应试教育”式的考试虽然首页上声称“模拟XP用户真实的环境”,但实际上,比赛环境使用的是无补丁的XP SP3。众所周知,解决已知漏洞的最好办法,是使用官方发布的补丁(啊请不要使用Struts2来反驳我……),但是这次比赛却不提供这样的解决方案,甚至比赛前一天,还在为安全软件如果帮XP安装了补丁是否违规而讨论不休。对于这个问题,官方的解释是这样的:
我们出发点:如果连已知漏洞都无法防御,凭什么防未知漏洞?从SP3版本发布后,XP并没有引入新的安全机制。2014年发现的漏洞,也可能早在2008年就已经出现了,区别只是发现时间的早晚而已,已知漏洞和未知漏洞对安全产品防护能力的考验并没有本质区别。
而造成的结果就是,大量的精力被用在了补齐已知漏洞防御能力上。打个比方就好比,题目是鸡兔同笼问题,但是限制不允许列方程式来解答,只能使用小学奥赛中的各种速算法求解。从中可以明显看到应试教育的意味。
这是一段远未结束的路程这场比赛的意义在哪里呢?
【「XP靶场挑战赛」是啥比赛】 证明“微软不顾及中国网民的感受而自主决定放弃XP操作系统不能对我们形成打击”……啊这类傲娇的话就不要当真了吧,大家看个乐子就好。
言归正传,今年内多次与操作系统相关的大新闻,背后都隐约有中央网信办的影子。早到政府拒绝采购Win8系统,近到对微软中国进行的调查(有意思的是挑战赛官网的新闻中暗示与XP停止支持有关),其中一贯的思想都是摆脱对微软的依赖,加强对操作系统的掌控力。如果这真的是网信办确定下来的方针的话,斗胆猜一下,这样的比赛后续还会继续开展,作为验证国内尤其是市场化企业对于XP系统底层理解能力的途径之一,甚至到最后不顾版权问题,拿出一个修补版XP系统作为政府操作系统,都不是不可能的。这样的话,官网所称“XP靶场挑战赛将长期举办”应该不是一句空话。

■网友
政府抛绣球选婿呢
■网友
谢邀。针对微软公司停止对XP操作系统提供服务支持这一事件,我国相关的政府机构、安全企业和众多行业专家给予了高度重视。360、腾讯、金山、百度等企业还发布了专门针对XP安全防护的产品,目的是要确保我国近2亿XP用户的系统安全。但各安全企业的XP防护计划和产品是否真能保证XP安全,普通XP用户难免心生疑虑。有行业专家认为,一般对国产安全防护产品的线下检测只能解决在检测时所具有的功能,无法保证今后的安全能力。只有通过实战检验,才能解决发展过程中对产品安全性的评价。同时,公开实战可以澄清社会上各种矛盾的信息,让真正具有保护能力的安全软件展示实力,让网民对中国自行承担XP操作系统的安全保护能力拥有信心:微软不顾及中国网民的感受而自主决定放弃XP操作系统不能对我们形成打击。此外,在实战中所发现的安全产品问题将及时得到安全厂家的修订,因而,我们发现漏洞的能力以及安全防护技术的进步,可以向垄断国家和组织展示我国信息安全实力,让他们知道中国并不会因为XP停止服务而束手无策。在此背景下,竞评演练工作组组织业内安全技术专家、国内主要安全厂商联合协商,本着加强我国网络信息安全实力、提升对XP系统的防护能力,使广大XP用户能继续安全地使用XP系统的宗旨,决定于2014年7月31日公开举办“XP靶场挑战赛”。此次XP靶场挑战赛由竞评演练工作组主办,赛事组织机构包括竞演办、技术委员会、监督委员会、用户观察团,以及核心技术运作团队。其中,监督委员会主要由行业代表、业内第三方专家、参赛企业代表、赛事组织人员等组成,实现对整个比赛过程的监督,统一媒体宣传策略等,以避免出现刻意的违规作弊或其他有违根本原则的行为。技术委员会成员主要由业内第三方技术专家、参赛企业代表、赛事组织人员等组成,主要指导比赛的所有技术环节,包括比赛流程、相关技术方案、靶标选择等。用户观察团由国内重要信息系统用户、普通个体用户自愿申请加入,能够观战挑战赛的全过程,但不能干涉挑战赛。核心技术运作团队由挑战平台建设团队组成,主要负责XP靶场挑战赛的靶场建设运行、具体赛事运作、相关数据分析、攻击方法提取、信息通报宣传等。此次“XP靶场挑战赛”将以微软XP系统及其上的国产安全防护软件为靶标,靶标均为Windows XP+SP3系统和IE8浏览器无额外补丁环境,并安装一款安全防护软件,安全防护软件包括:腾讯电脑管家(XP专属版本)、金山毒霸(XP防护盾)、360安全卫士(XP盾甲)、百度杀毒和北信源金甲防线,挑战者可任选其中一款产品保护的靶机进行攻击。挑战者必须是利用微软产品和相关安全软件的漏洞(已知或者未知)攻击,每个靶标成功完成挑战任务的前10名将获得现金奖励。“XP靶场挑战赛”将通过官网(XP靶场挑战赛官网)进行相关信息发布。参赛者报名及比赛相关活动将在XP挑战平台(xp.erangelab.com)进行。此外,赛事相关新闻、实况战报、比赛结果等将通过新浪微博(@XP靶场挑战赛)、新浪博客(XP靶场挑战赛_新浪博客)及时发布。以下详细解释细节:1. 主办方:本次XP靶场挑战赛的主办方是竞评演练工作组。竞评演练工作组是主管网络空间环境下的网络靶场,安全竞赛,安全测评和应急演练等工作的组织,也是XP挑战系列赛的唯一领导和决策机构。2. 具体时间安排如下:报名时间:2014年7月19日-28日挑战时间:2014年7月31日 8:00——20:00挑战时长:12小时公布结果:2014年8月1日3. 挑战赛的具体挑战流程:第一步:挑战者在Web服务器建立网站,上传包含测试代码的页面。第二步:挑战者控制靶机打开IE8.0访问网站指定页面(比赛开始时分配),从靶机上获取指定的文件(比赛开始时分配路径)。第三步:挑战者向系统提交指定文件的验证码,并提交攻击报告。第四步:组委会审核挑战方案。第五步:根据审核结果和提交时间确定名次。4. 挑战环境:(1)挑战平台为每个挑战者提供一个相对封闭的虚拟局域网环境,内有两台虚拟机,一台靶机,一台Web服务器。(2)Web服务器:XP中文专业版+IIS,IIS不开启ASP支持,不支持PHP, 内设FTP服务器,攻击者可以查看、上传、下载IIS根目录下的文件。(3)靶机:XP中文专业版+SP3+ie8+安全防护软件,安全防护软件为360安全卫士(XP盾甲)、百度杀毒、北信源金甲防线、金山毒霸(XP防护盾)和腾讯电脑管家(XP专属版本)中的任意一款。(4)目标:靶机下指定文件(比赛开始时临时分配路径),里面存放攻击成功的验证码,每台靶机都有自己唯一的验证码。(5)系统提供查看、上传、下载web服务器IIS根目录下的文件的功能,和控制靶机访问挑战者建立的指定页面的功能。(6)安全软件的版本,会根据比赛开始时间挑选各款安全软件的XP专版的最新版本进行挑战,没有XP专版的,使用通用版本。5. 奖金分配:目前的奖金额度为:主办方:15万,360:10万,腾讯:5万,百度:5万,金山:5万,北信源:5万,共计45万。所以各个靶标奖金分配方案如下:360:奖金10万,第1名5万,第2名3万,第3名2万。腾讯,百度、金山和北信源:各家奖金5万,第1名2.5万,第2名1.5万,第3名1万。基本奖:每家靶标3万,奖给第4-10名:每人4000元。6. 联系方式:详见网站 XP靶场挑战赛官网和XP挑战平台之XP靶场挑战赛;微信公众号:Rayteam


推荐阅读


上一篇:SVM算法采用高斯核函数,核函数的参数对结果影响大吗

下一篇:网络堆栈指啥?_?